Eine Hackerbande hat es auf eine Bluttestfirma in Londoner Krankenhäusern abgesehen und ihre Namen, Geburtsdaten und andere private Informationen von NHS-Patienten im Internet veröffentlicht.
Der Cyberangriff hat in der Hauptstadt Chaos verursacht, nachdem IT-Systeme praktisch unbrauchbar gemacht wurden. Die Gruppe fordert ein Lösegeld von 40 Millionen Pfund.
Die Cyberkriminellen Qilin haben am 3. Juni das Testunternehmen Synnovis gehackt und versuchen seitdem, Geld von ihnen zu erpressen. Die Gruppe hatte zuvor gedroht, gestohlene Daten zu veröffentlichen, wenn sie nicht 50 Millionen Dollar (40 Millionen Pfund) bekämen.
Die fast 400 GB umfassenden Daten wurden im Darknet veröffentlicht und umfassen Patientennamen, Geburtsdaten, NHS-Nummern und Beschreibungen von Bluttests. Es ist jedoch nicht bekannt, ob die Testergebnisse auch verfügbar sind.
IT-Experten gehen davon aus, dass aufgrund der freigegebenen Datenmenge Zehntausende Patienten betroffen sein werden.
Bisher mussten aufgrund des Hackerangriffs über 1.100 Operationen abgesagt und Hunderte Arzttermine abgesagt werden.
Qilin übernahm online die Verantwortung für den Hack und veröffentlichte nun eine große Menge an Daten
Zwischen dem 10. und 16. Juni, der zweiten Woche nach dem Anschlag, wurden beim King’s College Hospital NHS Foundation Trust und beim Guy’s and St Thomas’ NHS Foundation Trust mehr als 320 geplante Operationen und 1.294 ambulante Termine verschoben (im Bild: King’s College Hospital).
Die Zahl der verschobenen Operationen ist seit der ersten Woche nach dem Anschlag (3.-9. Juni) um 494 zurückgegangen, die Zahl der versäumten ambulanten Termine ist jedoch um 394 gestiegen (Bild: Guys and St Thomas‘ Hospital).
NHS England teilte mit, dass man „darauf aufmerksam gemacht wurde, dass die Cyberkriminelle gestern Abend Daten veröffentlicht hat, die ihrer Behauptung nach Synnovis gehören und im Rahmen dieses Angriffs gestohlen wurden“.
„Wir verstehen, dass dies die Menschen beunruhigt und arbeiten weiterhin mit Synnovis, dem National Cyber Security Centre und anderen Partnern zusammen, um den Inhalt der veröffentlichten Dateien so schnell wie möglich zu ermitteln“, fügte ein Sprecher hinzu.
„Dazu gehört, ob es sich um aus dem Synnovis-System extrahierte Daten handelt und, falls ja, ob sie sich auf NHS-Patienten beziehen.“
„Sobald im Zuge der umfassenden Untersuchung von Synnovis weitere Informationen verfügbar werden, wird der NHS Patienten und die Öffentlichkeit weiterhin auf dem Laufenden halten.“
Zwischen dem 10. und 16. Juni, der zweiten Woche nach dem Anschlag, wurden beim King’s College Hospital NHS Foundation Trust und beim Guy’s and St Thomas’ NHS Foundation Trust mehr als 320 geplante Operationen und 1.294 ambulante Termine verschoben.
Insgesamt mussten nach dem Angriff der mutmaßlich in Russland ansässigen Gruppe rund 1.134 Operationen abgesagt werden.
Als Reaktion darauf erklärte der britische Gesundheitsdienst NHS England London einen regionalen Vorfall, der ihm seiner Aussage nach eine Abstimmung mit benachbarten Anbietern zur Bewältigung der Störungen ermöglichte.
Bei seinem Hackerangriff infiltrierte Qilin die IT-Systeme von Synnovis und verschlüsselte wichtige Informationen, wodurch die IT-Systeme praktisch unbrauchbar wurden.
Wie viele Daten die Verbrecherbande genau erbeutet hat, ist nicht bekannt, man geht jedoch davon aus, dass es sich um Zehntausende Patienten handelt.
Das Unternehmen – ein Gemeinschaftsbetrieb des NHS und des Privatunternehmens SynLab – analysiert für einige Krankenhäuser und Arztpraxen Blut-, Urin- und Gewebeproben.
Doch nun wurde bekannt, dass die italienische Niederlassung der hinter dem Projekt stehenden Firma SynLab im April Opfer eines ähnlichen Cyberangriffs wurde.
In diesem Fall übernahm die Gruppe Blackbasta die Verantwortung für den Diebstahl von 1,5 TB Daten und drohte, diese im Dark Web zu veröffentlichen.
SynLab war gezwungen, sämtliche Computersysteme des Unternehmens in Italien vorsorglich abzuschalten und den gesamten Betrieb an Probenahmestellen, medizinischen Zentren und Laboren des Landes einzustellen.
In einem verschlüsselten Chat mit der BBC erklärte ein Sprecher von Qilin, das Unternehmen habe den jüngsten Cyberangriff aus Protest durchgeführt, und behauptete, Großbritannien unterstütze in einem nicht näher bezeichneten Krieg nicht genug.
Der Cyberangriffsalbtraum des NHS geht weiter: Zwei Wochen, nachdem Hacker einen „kritischen Vorfall“ in Londoner Krankenhäusern ausgelöst hatten, wurden immer noch 1.134 Operationen und Hunderte von Terminen abgesagt
Ein Sprecher sagte: „Es tut uns sehr leid für die Menschen, die darunter leiden mussten. Wir sehen uns nicht schuldig und bitten Sie, uns in dieser Situation nicht die Schuld zu geben. Geben Sie Ihrer Regierung die Schuld.“
Die Gruppe deutete an, dass sie möglicherweise in der Ukraine ansässig sei, und erklärte: „Unsere Bürger sterben in ungleichen Kämpfen aufgrund eines Mangels an Medikamenten und Spenderblut.“
Ihre Behauptung, sie habe aus Protest britische Krankenhäuser ins Visier genommen, stößt jedoch auf Skepsis, da die Gruppe bereits zuvor gezielt Gemeinden, große internationale Unternehmen und andere Organisationen des Gesundheitswesens ins Visier genommen hat.
James Bore, ein zugelassener Sicherheitsexperte und Autor von The Cyber Circuit, sagte gegenüber MailOnline, es sei „realistisch“, dass Zehntausende Menschen von der Datenveröffentlichung betroffen sein würden.
Er sagte, die von Qilin erhaltenen Daten würden sämtliche mit einem Test verbundenen Informationen enthalten und könnten sogar die Ergebnisse beinhalten.
Herr Bore sagte: „Angesichts der Tatsache, dass das Synnovis-System im Oktober letzten Jahres eingeführt wurde und wir von drei Krankenhäusern sprechen, scheinen Zehntausende Patienten realistisch.“
„Unternehmen müssen in Cybersicherheit investieren und sich wirklich damit auskennen. Dies ist nicht das erste Mal, dass SynLab betroffen ist.“
„Im April dieses Jahres war ihre italienische Niederlassung von einem Erpressungsangriff betroffen. Das haben sie also schon einmal erlebt.
„Durch die Konsolidierung der Daten mehrerer Krankenhäuser in einem System werden diese zur Zielscheibe, weil einfach mehr Daten erfasst werden.“
„SynLab hat die Daten durch diese Konsolidierung angreifbar gemacht.“
Er fügte hinzu: „Obwohl es für den Einzelnen Anlass zur Sorge gibt, besteht kein Grund zur Panik.“
„Das sind sehr persönliche Daten, aber sie zu nutzen und jemanden in der Liste zu finden, um ihn individuell mit diesen medizinischen Informationen anzusprechen, ist ein enormer Arbeitsaufwand.“
Ein Sprecher von Synnovis sagte: „Gestern Abend hat eine Gruppe, die die Verantwortung für den Cyberangriff übernahm, online Daten veröffentlicht, die angeblich Synnovis gehören.“
„Wir wissen, wie beunruhigend diese Entwicklung für viele Menschen sein kann. Wir nehmen sie sehr ernst und eine Analyse dieser Daten ist bereits im Gange.“
„Diese Analyse, die in Zusammenarbeit mit dem NHS, dem National Cyber Security Centre und anderen Partnern durchgeführt wird, soll bestätigen, ob die Daten aus den Systemen von Synnovis entnommen wurden und welche Informationen sie enthalten.“
„Wir werden unsere Servicenutzer, Mitarbeiter und Partner über den Fortgang der Untersuchung auf dem Laufenden halten.“
Am Donnerstag erklärte Dr. Chris Streather, medizinischer Direktor des NHS London: „Obwohl einige Dienste wieder nahezu im Normalbetrieb arbeiten und die Zahl der verschobenen planmäßigen Eingriffe zurückgegangen ist, hat der Cyberangriff auf Synnovis weiterhin erhebliche Auswirkungen auf die NHS-Dienste im Südosten Londons.“
„Die Verschiebung einer Behandlung ist für die Patienten und ihre Angehörigen sehr belastend und ich möchte mich bei allen Patienten entschuldigen, die von diesem Vorfall betroffen sind. Das Personal arbeitet weiterhin hart daran, Termine und Behandlungen so schnell wie möglich neu zu vereinbaren.
„Gegenseitige Hilfsvereinbarungen zwischen NHS-Laboren haben begonnen, sich positiv auf die Anbieter in der Primärversorgung auszuwirken, indem sie dazu beitragen, die Anzahl der für die kritischsten und dringendsten Fälle verfügbaren Bluttests zu erhöhen.“
„Patienten sollten die Dienste auf die übliche Weise in Anspruch nehmen, indem sie im Notfall die 999 wählen und andernfalls NHS 111 über die NHS-App, online oder am Telefon verwenden.“
„Sie sollten auch weiterhin zu Terminen erscheinen, sofern ihnen das Klinikteam nichts anderes sagt.“